BIOS漏洞影响DELL和苹果系统

jopen 9年前
 

由于BIOS在从睡眠模式唤醒后因未能正确设置写保护,导致攻击者可刷恶意BIOS镜像,漏洞编号为CVE-2015-2890,影响大量DELL系统。

漏洞详情

根据研究人员Cornwell, Butterworth, Kovah 和 Kallenberg的报告,该漏洞主要影响DELL客户端系统,

基于Intel x86系统的芯片组通常都提供了BIOS的写保护(译者注:不知道是不是CIH的后遗症),以此防止对BIOS镜像的重刷,其中之一的就是位于芯片组 BIOS_CNTL寄存器中的一对校验位,BIOSLE和BIOSWE。当设置BIOSLE位时,即启用了保护机制,系统复位后,BIOS_CNTL重置其为默认值。默认情况下,BIOS_CNTL寄存器中BIOSLE位被清零(Disable),BIOS则负责在系统重置后重新激活(Enable)。而从目前的硬件架构来看,从睡眠状态被唤醒被定义为系统重置。

因此,BIOS_CNTL寄存器必须在系统唤醒后重新配置,在正常启动中,BIOS_CNTL被正确配置,然而,在某些情况下,BIOS制造商因为没能正确的重新设定BISO_CNTL寄存器直到系统被唤醒。因此,攻击者可以随时重刷恶意制定的BIOS镜像且强制系统睡眠并唤醒,这样就绕过了由其他供应商签署保护机制的BIOS。

报告指出,该漏洞同样适用于苹果系统(CVE-2015-3692),其BIOS寄存器中FLOCKDN位在系统唤醒后由于未能正确设置从而导致出现漏洞。

解决方法

DELL 建议受影响的用户升级到最新BIOS程序,下载地址:http://support.dell.com

影响范围

看了一下,主要影响DELL系统,几乎是商用全系列了,以下是清单

受影响系统,BIOS升级版本号

Latitude E5420, A14  Latitude E5520, A14  Latitude E6220, A13  Latitude E6320, A19  Latitude E6420 / ATG, A21  Latitude E6420 XFR, A21  Latitude E6520, A19  Latitude XT3, A13  OptiPlex 390, A11  OptiPlex 790, A18  OptiPlex 990, A18  Precision Mobile Workstation M4600, A16  Precision Mobile Workstation M6600, A15  Precision Workstation T1600, A16  Precision Workstation T7600, A10  Precision Workstation T5600, A12  Precision Workstation T5600 XL, A12  Precision Workstation T3600, A12  Latitude E4310, A14  Latitude E5410, A16  Latitude E5510, A16  Latitude E6410 / ATG, A16  Latitude E6510, A16  Precision Mobile Workstation M4500, A15

*本文作者:langyajiekou,翻译来源:http://www.kb.cert.org/vuls/id/577140,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)